Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Invalidation du « Privacy shield » : l’AFCDP alerte les entreprises et souhaite une position claire des « CNIL » européennes

juillet 2020 par AFCDP

Dans son arrêt très attendu du 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a invalidé le dispositif d’autorégulation dit « Privacy Shield » permettant aux acteurs situés dans l’Union européenne d’exporter des données personnelles aux États-Unis sous réserve que le partenaire américain adhère et procède à une certification de conformité aux règles du Privacy Shield. Cette invalidation du « Privacy Shield » fait suite aux actions menées par Max Schrems, avocat autrichien qui dénonce depuis 2011 les modalités de traitement des données personnelles par Facebook. Il avait déjà obtenu en 2015, l’invalidation par la CJUE du « Safe Harbor », accord signé entre l’Union européenne (UE) et les États-Unis pour encadrer le transfert et l’utilisation des données de personnes qui se trouvent sur le territoire de l’Union européenne, par les entreprises américaines.

Un arrêt de la CJUE lourd de conséquences

Toujours insatisfait par la nouvelle décision d’adéquation de la protection des données, garantie par le « bouclier de protection des données UE-États-Unis » signée en 2016, et connue sous le nom de « Privacy Shield » , ainsi que par les Clauses contractuelles types (CCT) établies en 2010 par la Commission européenne pour encadrer les transferts de données personnelles, Max Schrems avait de nouveau saisi la CJUE, conjointement avec la « CNIL » irlandaise.

Dans l’arrêt du 16 juillet 2020, la CJUE a décidé d’invalider la décision de la Commission européenne qui établissait le « Privacy Shield » au motif que ce nouveau dispositif, à l’instar du « Safe Harbor », consacre « la primauté des exigences relatives à la sécurité nationale, à l’intérêt public et au respect de la législation américaine, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays (…) ».

Dans ce même arrêt, la Cour confirme au contraire la validité de la décision relative aux CCT.
Néanmoins, la CJUE rappelle que les personnes concernées par des données transférées doivent bénéficier d’un niveau de protection équivalant à celui garanti au sein de l’Union Européenne par le RGPD, et que cette protection doit être évaluée, au-delà des clauses contractuelles, en tenant compte du cadre juridique d’un éventuel accès par les autorités publiques du pays tiers.

Une situation complexe

L’arrêt de la CJUE crée, pour les organismes européens, une situation opérationnelle complexe.
D’une part, lorsqu’un organisme, agissant en tant que « responsable de traitement », met en œuvre un traitement de données personnelles qui comporte un transfert vers un fournisseur situé aux États-Unis, ce transfert ne peut plus être considéré comme conforme au RGPD, sur la base du « Privacy Shield ».

D’autre part, la question se pose de l’alternative disponible aux organismes dans cette situation. Si la validité des clauses contractuelles types a été confirmée de manière générale, leur utilisation est-elle une mesure suffisante pour assurer une protection adéquate des transferts de données vers un fournisseur aux États-Unis ? On peut s’interroger sur la faculté de l’importateur aux États-Unis de garantir une protection compatible avec celle du RGPD au regard des pouvoirs des autorités du renseignement américaines résultant notamment du Foreign Intelligence Security Act, du « CLOUD Act » et de l’Executive Order 1233. Cette question clé n’est pas tranchée aujourd’hui et est renvoyée à l’appréciation des entreprises exportatrices et importatrices de données.

Les responsables de traitement européens sont donc face à un dilemme : maintenir les traitements comportant des transferts vers les États-Unis avec l’incertitude actuelle et le risque de sanctions éventuelles, ou renoncer à tout traitement de ce type, et revoir intégralement leur architecture et leurs solutions informatiques, en excluant d’innombrables solutions parmi les plus innovantes, à commencer par celles de grands acteurs du Web, ce qui peut impliquer des coûts de structure significatifs et ne peut s’envisager que sur plusieurs années.

L’AFCDP alerte les entreprises et sollicite une prise de position claire des « CNIL » européennes

L’Association française des correspondants à la protection des données (AFCDP) qui regroupe les Délégués à la protection des données (DPD/DPO) et les professionnels de la protection des données, a très tôt échangé avec ses membres sur les questions soulevées par les transferts de données vers les États-Unis. Elle avait d’ailleurs reçu le 24 mars 2017, Max Schrems et Bruno Gencarelli de la Commission européenne lors d’une conférence intitulée « Les instruments de protection des flux transfrontières en question » . Max Schrems y avait expliqué que le « Privacy Shield » n’était qu’une version enjolivée du « Safe harbor ».

L’AFCDP n’est donc pas surprise de l’invalidation du « Privacy Shield » par la CJUE, et considère que cette décision est positive car elle va faire progresser les droits des européens. Toutefois, elle s’inquiète de la situation ambigüe réservée par la Commission européenne aux États-Unis.

En effet, alors que les décisions d’adéquation permettent de constater que des pays tiers (Argentine, Israël, Japon, Nouvelle-Zélande, Suisse, Uruguay…) offrent un niveau de protection des données équivalant à celui du RGPD, les États-Unis qui ne sont pas considérés comme un pays « adéquat » pourraient bénéficier de mécanismes spécifiques successivement invalidés par la Justice. Enfin, selon l’arrêt de la CJUE, l’outil des « clauses contractuelles types » semble d’une manipulation délicate, car s’il encadre les pratiques des fournisseurs, il ne préjuge pas de celles des États. Quand bien même les CCT imposent aux entreprises exportatrices et importatrices d’apprécier le risque du transfert pour les données et de suspendre le transfert en cas de risque, l’AFCDP trouve disproportionné de faire peser sur les entreprises l’analyse du régime juridique applicable aux services de renseignement du pays importateur. Ce régime juridique est particulièrement complexe et opaque. À tel point qu’il a fallu de nombreuses auditions et rapports d’experts pour que les différentes institutions européennes se forgent une opinion dans le contexte de l’approbation du Privacy Shield, opinion qui n’a d’ailleurs pas toujours été concordante.

Au-delà du transfert de données personnelles vers les États-Unis, la question se pose des transferts vers les autres pays « non adéquats », en particulier ceux dont les services de renseignement sont particulièrement actifs. Pour utiliser des CCT, il faudrait donc maîtriser les lois du renseignement de chacun de ces pays. La tâche paraît bien lourde.

Dans ce contexte, l’AFCDP suggère aux organismes concernés de tenir, à court terme, une position pragmatique. S’il n’est pas possible d’éviter un transfert de données personnelles vers les États-Unis, il convient d’exiger, à titre de protection minimale, la signature de clauses contractuelles conformes aux CCT de la Commission européenne.

Par ailleurs, l’AFCDP souhaite que la CNIL et ses homologues réunis au sein du Comité européen de la protection des données (CEPD/EDPB) formulent rapidement une recommandation commune et sans ambigüité sur les mesures de protection à mettre en œuvre et les lignes directrices permettant aux organismes concernés de poursuivre leurs activités impliquant des fournisseurs américains, dans des conditions de sécurité juridique optimales.


L’AFCDP, créée dès 2004, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer). Si l’AFCDP est l’association représentative des DPD, elle rassemble largement. Au-delà des professionnels de la protection des données et des DPD désignés auprès de la CNIL, elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.




Voir les articles précédents

    

Voir les articles suivants